CN117579182B - 无源光网络***的业务加密方法、电子设备及存储介质 - Google Patents

无源光网络***的业务加密方法、电子设备及存储介质 Download PDF

Info

Publication number
CN117579182B
CN117579182B CN202410063582.1A CN202410063582A CN117579182B CN 117579182 B CN117579182 B CN 117579182B CN 202410063582 A CN202410063582 A CN 202410063582A CN 117579182 B CN117579182 B CN 117579182B
Authority
CN
China
Prior art keywords
encryption
key
onu
uplink
counter
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202410063582.1A
Other languages
English (en)
Other versions
CN117579182A (zh
Inventor
刘凯林
王鹏
蔡立勇
张伟良
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
ZTE Corp
Original Assignee
ZTE Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ZTE Corp filed Critical ZTE Corp
Priority to CN202410063582.1A priority Critical patent/CN117579182B/zh
Publication of CN117579182A publication Critical patent/CN117579182A/zh
Application granted granted Critical
Publication of CN117579182B publication Critical patent/CN117579182B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/80Optical aspects relating to the use of optical transmission for specific applications, not provided for in groups H04B10/03 - H04B10/70, e.g. optical power feeding or optical transmission through water
    • H04B10/85Protection from unauthorised access, e.g. eavesdrop protection
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/14Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms
    • H04L9/16Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols using a plurality of keys or algorithms the keys or algorithms being changed during operation
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04QSELECTING
    • H04Q11/00Selecting arrangements for multiplex systems
    • H04Q11/0001Selecting arrangements for multiplex systems using optical switching
    • H04Q11/0062Network aspects
    • H04Q11/0067Provisions for optical access or distribution networks, e.g. Gigabit Ethernet Passive Optical Network (GE-PON), ATM-based Passive Optical Network (A-PON), PON-Ring

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Small-Scale Networks (AREA)

Abstract

本申请公开了一种无源光网络***的业务加密方法、电子设备及存储介质,属于通信技术领域。本申请的技术方案是将加密使能信息发送至光网络单元ONU,在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2‑G,对OLT与ONU当前所协商采用的加密算法进行动态切换;根据动态切换后的加密算法,与ONU之间进行密钥同步;在密钥同步后,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,并将超帧计数器的目标值或Key Index发送至ONU。本申请能够实现PON***支持多种加密算法,以及各算法动态切换的需求。

Description

无源光网络***的业务加密方法、电子设备及存储介质
技术领域
本申请涉及通信技术领域,尤其涉及无源光网络***的业务加密方法、电子设备及存储介质。
背景技术
无源光网络(PON,Passive Optical Network)是一种宽带无源光接入技术、点到多点的光纤接入技术,它由安装于中心控制站的光线路终端(OLT,Optical LineTerminal)、一批配套安装于用户场所的光网络单元(ONU,Optical Network Unit)以及光分配网络(ODN,Optical Distribution Network)组成。ODN通常为点到多点结构,一个OLT连接多个ONU。在OLT与ONU之间的ODN包含了光纤以及无源分光器或耦合器等无源器件,不含有任何有源设备。PON由于在光纤接入方式中具有相对成本低,方便平滑升级等优势,成为未来接入网宽带发展的方向。
PON有多种形式,如APON(ATM Passive Optical Network,ATM无源光网络,其中ATM为异步转移模式)、BPON(Broadband Passive Optical Network,宽带无源光网络)、EPON(Ethernet Passive Optical Network,以太网无源光网络)、GPON(Gigabit PassiveOptical Network,吉比特无源光网络)、XGPON(10-Gigabit-capable Passive OpticalNetworks,10G无源光网络)、XGSPON(10-Gigabit-capable Symmetric Passive OpticalNetworks,10G对称无源光网络)等,但是其基本构造基本差异不大。传送数据过程中,下行采用广播方式,由局端的OLT将下行的光信号经过光分路器,分成多路给各个ONU,而每个ONU上行的信号逆向通过光耦合器合成在一根光纤多任务传送给OLT。
随着光网络的不断发展,光纤到户(Fiber to Home,FTTH)已经全面铺开,其光路终端OLT和光网络单元ONU也得到了广泛应用。然而由于目前国际标准中对GPON只定义了一种高级加密算法。而FTTR(Fiber To The Room,光纤到房间)场景下GPON产品的研发要求能够适应不同国家、不同地区和不同网络运营商的应用需要,不同国家可能使用不同的加密算法,不同网络运营商也可能使用不同的加密算法。
现有技术方案只考虑了一种数据加密算法模式,没有在ONU连接到OLT的配置阶段提供多算法模式协商过程,缺乏对多种加密算法的兼容处理,不能满足多国家,多地区和多网络运营商对FTTR场景下GPON设备要求支持多种加密算法,以及各算法动态切换的需求。
发明内容
本申请的主要目的在于提供一种无源光网络***的业务加密方法、电子设备及存储介质,旨在实现PON***支持多种加密算法,以及各算法动态切换的需求。
为实现上述目的,本申请提供一种无源光网络***的业务加密方法,所述业务加密方法应用于光线路终端OLT,包括:
将加密使能信息发送至光网络单元ONU,其中,所述加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密;
在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对所述OLT与所述ONU当前所协商采用的加密算法进行动态切换;
根据所述动态切换后的加密算法,与所述ONU之间进行密钥同步;
在密钥同步后,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,并将所述超帧计数器的目标值或Key Index发送至所述ONU。
此外,为实现上述目的,本申请提供一种无源光网络***的业务加密方法,所述业务加密方法应用于光网络单元ONU,包括:
接收光线路终端OLT发送的加密使能信息,其中,所述加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密;
在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对所述OLT与所述ONU当前所协商采用的加密算法进行动态切换;
根据所述动态切换后的加密算法,与所述OLT之间进行密钥同步;
在密钥同步后,接收所述OLT发送的超帧计数器的目标值或Key Index,根据所述超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法。
此外,为实现上述目的,本申请还提供一种无源光网络***的业务加密方法,所述业务加密方法应用于FTTR主设备MFU,包括:
将加密使能信息发送至FTTR从设备SFU,其中,所述加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密;
在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对所述MFU与所述SFU当前所协商采用的加密算法进行动态切换;
根据所述动态切换后的加密算法,与所述SFU之间进行密钥同步;
在密钥同步后,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,并将所述超帧计数器的目标值或Key Index发送至所述SFU。
此外,为实现上述目的,本申请还提供一种无源光网络***的业务加密方法,所述业务加密方法应用于FTTR从设备SFU,包括:
接收FTTR主设备MFU发送的加密使能信息,其中,所述加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密;
在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对所述MFU与所述SFU当前所协商采用的加密算法进行动态切换;
根据所述动态切换后的加密算法,与所述MFU之间进行密钥同步;
在密钥同步后,接收所述MFU发送的超帧计数器的目标值或Key Index,根据所述超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法。
此外,为实现上述目的,本申请还提供一种电子设备,所述电子设备包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的无源光网络***的业务加密程序,所述无源光网络***的业务加密程序被所述处理器执行时实现如上述的无源光网络***的业务加密方法。
此外,为实现上述目的,本申请还提供一种存储介质,所述存储介质为计算机可读存储介质,所述计算机可读存储介质上存储有无源光网络***的业务加密程序,所述无源光网络***的业务加密程序被处理器执行时实现如上述的无源光网络***的业务加密方法。
本申请提出一种无源光网络***的业务加密方法、电子设备及存储介质,在无源光网络***的业务加密方法中,本申请实施例的技术方案是将加密使能信息发送至光网络单元ONU,其中,该加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密,然后在使能开启上下行加密或者开启上行加密后,通过OMCI设备的OMCI实体ONU2-G,对OLT与ONU当前所协商采用的加密算法进行动态切换,根据该动态切换后的加密算法,与ONU之间进行密钥同步,再在密钥同步后,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,并将超帧计数器的目标值或Key Index发送至所述ONU,以通知ONU从指定帧开始使用新密钥或新的加密算法,实现对上行业务报文进行加解密,从而使得在FTTR(Fiber To The Room,光纤到房间)场景下的GPON非对称和GPON对称,增加上行加密,进而使得FTTR场景下的各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)能够支持上下行加密使能策略、SM4加密算法以及加密算法动态切换策略,有效实现PON***支持多种加密算法,以及各算法动态切换的需求。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图示出的结构获得其他的附图。
图1为本申请第一实施例中无源光网络***的业务加密方法的流程示意图;
图2为本申请第二实施例中无源光网络***的业务加密方法的流程示意图;
图3为本申请一示例性实施例的电子设备的结构框图。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
随着光网络的不断发展,光纤到户(FTTH,Fiber to the Home)已经全面铺开,其局端产品(OLT,Optical Line Terminal)和终端产品(ONU,Optical Network Unit)也得到了广泛应用。在无源光网络***中,无源光网络设备根据传输汇聚层(TC,TransmissionConvergence)的协议不同可以分为千兆无源光网络设备(GPON,Gigabit-capable PassiveOptical Network)、10G无源光网络设备(XGPON,10-Gigabit-capable Passive OpticalNetworks)、10G对称无源光网络设备(XGSPON,10-Gigabit-capable Symmetric PassiveOptical Networks)、50G高速无源光网络设备(HSPON,Higher speed passive opticalnetworks),以及目前正在研究的100G PON等。这些无源光网络***架构一般都包含光网络终端OLT、光网络单元ONU和光分配网络(ODN,Optical Distribution Network)。
在ITU-T系列标准中,不同模式的PON接入技术的加密算法都是AES-128加密算法,但加密方向不太一样。GPON非对称和GPON对称只对下行方向进行加密,而XGPON非对称和XGPON对称对下行和上行方向都进行加密。而在FTTR(Fiber To The Room,光纤到房间)场景下和G.fin系列标准中,不同模式的PON接入技术(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)的下行方向和上行方向均需要支持多种加密算法(包括但不限于AES-128、AES-256、Camellia-128、Camellia-256和SM4)以及算法动态切换。
现有的相关技术中并没有提供解决上述问题的有效方案,如何在实际应用中解决上述问题成为在FTTR场景中需要解决的问题。
从以上对PON国际标准的介绍可以看出,现有技术方案只考虑了一种数据加密算法模式,没有在ONU连接到OLT的配置阶段提供多算法模式协商过程,缺乏对多种加密算法的兼容处理,不能满足多国家,多地区和多网络运营商对PON设备要求支持多种加密算法,以及各算法动态切换的需求。
基于此,请参照图1,图1为本申请第一实施例中无源光网络***的业务加密方法的流程示意图。如图1所示,所述业务加密方法应用于光线路终端OLT,无源光网络***的业务加密方法主要包括以下步骤。
步骤S100,将加密使能信息发送至光网络单元ONU;
其中,所述加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者同时开启上下行加密。
本申请实施例无源光网络***的业务加密方法可应用于PON***家庭或者企业组网应用,以及FTTR场景等等,本实施例不作具体的限定。
本领域技术人员可知的是,PLOAM(Physical Layer Operations Administrationand Maintenance, 物理层操作管理和维护)消息是指GPON协议层中传输汇聚层***协议栈的物理层操作管理和维护。OMCI(ONU Management and Control Interface,光网络单元管理控制接口)消息是GPON标准中定义的一种OLT与ONU之间信息交互的协议,用于在GPON网络中OLT对ONU的管理,包括配置管理、故障管理、性能管理和安全管理等。
在本实施例中,可通过PLOAM消息或OMCI消息,将加密使能信息发送至光网络单元ONU。具体地,该加密使能信息中可携带有加密使能标识,所述加密使能标识用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者同时开启上下行加密。
示例性地,所述加密使能信息中通过如下方式携带有加密使能标识,包括:
步骤A10,通过在所述加密使能信息中的PTI(Payload Type Indicator,静荷类型指示)字段的指定比特携带加密使能标识,其中,所述指定比特取值为第一指定值表示不开启加密,所述指定比特取值为第二指定值表示仅开启上行加密,所述指定比特取值为第三指定值表示仅开启下行加密,所述指定比特取值为第四指定值表示开启上下行加密。
在本实施例中,容易理解的是,该第一指定值、第二指定值、第三指定值和第四指定值均不相同。不同的指定值指示不同的加密模式。
本申请实施例能实现对各种PON模式进行上下行加密使能。对于不同的应用场景,各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)均支持通过标准PLOAM消息、OMCI消息或者自定义PLOAM消息、OMCI消息进行加密使能动作,包括不开启加密、仅开启上行加密、仅开启下行加密、开启上下行加密这四种上下行加密使能策略。
进一步地,本申请实施例可实现在同一PON口下的不同ONU的混合加密,根据业务重要性的不同,在同一PON口下的不同ONU可以使用不同的加密算法,OLT通过OMCI实体ONU2-G配置各ONU的加密算法。具体地,可以通过广播将同一PON口下的所有ONU都配置为同一种加密算法,也可以通过单播和组播配置指定某个或某组ONU配置为一种加密算法。
本发明实施例通过对GPON非对称和GPON对称PON模式增加上行加密以及帧间隔的配置规则,对各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)增加上下行加密使能策略、SM4加密算法以及加密算法动态切换策略,对于OLT的同一PON口下的不同ONU提出混合加密策略,从而实现FTTR加密方法。
步骤S100之后,执行步骤S200,在使能开启上下行加密或者开启上行加密后,通过OMCI(ONU Management and Control Interface,ONU的管理和控制接口)实体ONU2-G,对所述OLT与所述ONU当前所协商采用的加密算法进行动态切换;
一般情况下,PON***由三个部分组成:OLT(Optical Line Termination,光线路终端)、ODN(Optical Distribution Network,光分布网)和ONU/ONT
(Optical Network Unit,光网络单元/Optical Network Termination,光网络终端)。OLT为PON***提供网络侧接口(SNI,Service Network Interface),连接一个或多个ODN。无源分光器件,将OLT下行的数据分路传输到各个ONU,同时将多个ONU/ONT的上行数据汇总传输到OLT。
本领域技术人员可知的是,从OLT到ONU称为下行,反之为上行。
在本实施例中,由于ONU和OLT已经完成了密钥同步,因此,在上行加密过程中,ONU和OLT当前使用的密钥一致,OLT和ONU能够使用相同的密钥进行加密/解密,不会出现上行帧丢包。
其中,本实施例中加密算法进行动态切换的密钥协商过程的发起方不一定是OLT,也可能是ONU,也可能是双方共同发起,本实施例对此不作具体的限定。
在一示例中,可通过由OLT和ONU根据随机数和***参数生成加密密钥进行密钥协商的,整个协商过程中传输的是由随机数和***参数生成的传递数,从而使得即使窃听者获取了传递数,甚至其获取了***参数,也因为不知道随机数而无法获得加密密钥,与相关技术中通过网络直接传输明文密钥相比,可大大提高密钥协商过程的安全性。另外,本实施例发送的该传递数或响应消息是采用分片后多次发送的方式进行的,将数据分片发送可以有效提高数据传输的安全性,而采用多次发送方式可以提高数据传输的可靠性。若OLT或ONU接收传递数时有任一分片每次都接收失败,则重新发送请求更新加密密钥消息;若已连续发送请求更新加密密钥消息次数大于预定请求更新加密密钥消息次数,则宣告密钥协商失败。
需要说明的是,OLT与ONU当前所协商采用的加密算法包括但不限于:AES-128、AES-256、Camellia-128、Camellia-256和SM4等加密算法。
其中,本领域技术人员可知的是,OMCI实体ONU2-G为现有技术中进行加密算法动态切换的虚拟装置或者实体单元,在此不再赘述。需要说明的是,目前OMCI实体ONU2-G暂未用于上行传输数据的加密算法动态切换。
在本实施例中,在根据OMCI实体ONU2-G进行加密算法动态切换的过程中,各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)都支持多种加密算法(包括但不限于AES-128、AES-256、Camellia-128、Camellia-256和SM4)。具体地,ONU通过OMCI实体ONU2-G中的Security capability属性向OLT上报ONU支持的加密算法,在实例化ONU时会将实体ONU2-G中的Security mode属性设置为某一特定值,如设置为1,即使用AES-128加密算法。
示例性地,OLT通过OMCI实体ONU2-G中的Security mode属性设置ONU的加密算法,如OMCI实体ONU2-G中Security mode值为1,则将加密算法切换为AES-128加密算法,如OMCI实体Security mode值为5,则切换为SM4加密算法。在ONU作出响应之后实现加密算法的切换。
步骤S200之后,执行步骤S300,根据所述动态切换后的加密算法,与所述ONU之间进行密钥同步;
步骤S400,在密钥同步后,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,并将所述超帧计数器的目标值或Key Index发送至所述ONU。
示例性地,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,包括:
在无源光网络***为GPON非对称***或者GPON对称***的情况下,根据超帧计数器的目标值,从指定帧开始使用新密钥或新的加密算法;
在无源光网络***为XGPON或者XGSPON***的情况下,根据Key Index的变化,从指定帧开始使用新密钥或新的加密算法。
在本实施例中,可通过PLOAM消息或OMCI消息,将超帧计数器的目标值或KeyIndex发送至ONU。
示例性地,所述OLT和所有所述ONU均使用经过同步的所述超帧计数器,所述超帧计数器包括帧内计数器和帧间计数器,所述超帧计数器的宽度为46比特,其中,低16比特为所述帧内计数器,高30比特为所述帧间计数器,对于所述上行加密,所述帧内计数器在上行帧开始置为0,每4字节递增,所述帧间计数器包含在下行GTC(GPON TransmissionConvergence)帧的GTC Header字段中,所述GTC Header字段指定传输上行GEM帧的上行GTC突发。
进一步地,在所述无源光网络***为GPON非对称***或者GPON对称***的情况下,在上行方向,GTC成帧子层的突发被划分为4字节的多个数据块,各所述数据块从S到(S+X)顺序编号;
其中,S=|_目标StartTime/m_|,目标StartTime为DLL(Dynamic Link Library,动态链接库)成帧子层突发第一个分配(即allocation)的StartTime,StartTime用于指示带宽分配时隙的开始时间,X为所述数据块的数量减去一(即X为GTC上行突发中数据块的数量减去一),
m为针对上行数据传输速率而预设的数值,其中,对于1.25G上行,m=4,对于2.5G上行,m=2;
所述超帧计数器包括帧内计数器和帧间计数器,其中,所述帧内计数器的值包括所有FEC(forward error correction,前向纠错)校验字节。
在本实施例中,需要说明的是,在CTR(counter mode,计数器模式)模式中,OLT和所有ONU都使用经过同步的超帧计数器(SFC,Superframe Counter)。超帧计数器的宽度为46比特,其中,低16比特为帧内计数器,高30比特是帧间计数器。帧内计数器在上下行帧开始时置为0,每4字节递增。上下行加密中帧内计数器的值可以包含所有FEC(forward errorcorrection,前向纠错)校验字节,当然,上下行加密中帧内计数器的值也可以不包含所有FEC校验字节,本实施例对此不作具体的限定。
具体地,帧内计数器在下行帧开始位置为0(GTC Header的第一个字节),每4字节递增。在下行速率2.488Gbit/s***内,帧内计数器范围为0至9719。
在上行方向,GTC成帧子层的突发被划分为4字节的块,这些块从S到(S+X)顺序编号。此处S=|_StartTime/m_|,其中,对于1.25G上行,m=4;对于2.5G上行,m=2。|_xxx_|表示xxx向下取整,StartTime为DLL成帧子层突发第一个allocation的StartTime,X是GTC上行突发中完整和不完整的4字节块的数量减去1。需要注意的是,加密处理步骤在FEC之前。然而,帧内计数器的值来自发送的帧,因此在一般情况下,下行和上行帧内计数器的值中要包括所有FEC校验字节,最后再进行扰码处理。
在上行方向上,帧间计数器包含在下行GTC帧的PCBd(Physical Control Blockdownstream,下行物理层控制块)字段中,该字段指定传输上行GTC帧的上行突发。ONU实现一个经过同步的本地计数器,因此可以修复这个域的错误。随机密码块与GEM净荷的起始位置对齐。
在本实施例中,只对GEM帧/分片的净荷进行加密,GEM帧头不进行加密。由于GEM分片不一定是一个完整的编码块,所以尾数据块(长度为1到16字节)与尾密码块(长度为16字节)的MSB进行异或运算。尾密码块的其余部分将会被丢弃。
在一实施例中,所述指定帧为所述超帧计数器的值达到该目标值时对应的信息帧,根据所述超帧计数器的目标值,确定从指定帧开始使用新的解密密钥进行解密的步骤,具体可包括:根据所述超帧计数器的目标值,在所述ONU侧配置的超帧计数器的值达到该目标值时,开始使用新的解密密钥,其中,所述ONU侧配置的超帧计数器与所述ONT侧配置的超帧计数器同步。
本实施例通过在密钥同步后,可根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,并通过PLOAM消息或OMCI消息,将超帧计数器的目标值或Key Index发送至ONU,以通知ONU从指定帧开始使用新密钥或新的加密算法,可以避免OLT和ONU两边交互消息导致新密钥或新加密算法启用时间不一致的问题,实现Port-ID加解密使能的无缝切换,保证上行数据流不丢包。
值得一提的是,本申请实施例提供一种FTTR(Fiber to the Rome,光纤到房间)加密的实现方法。对于FTTR场景下的GPON非对称和GPON对称,能够实现增加上行加密以及帧间隔(IPG,Inter-packet Gap)的配置规则。而对于FTTR场景下的各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)增加上下行加密使能策略、SM4加密算法以及加密算法动态切换策略;对于OLT的同一PON口下的不同ONU提出混合加密策略。
需要说明的是,本申请的全部实施例可以工作在FTTR场景和G.fin系列标准中,也可以工作在其他场景,本申请对此不作限制。
本申请提出一种无源光网络***的业务加密方法、电子设备及存储介质,在无源光网络***的业务加密方法中,本申请实施例的技术方案是将加密使能信息发送至光网络单元ONU,其中,该加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密,然后在使能开启上下行加密或者开启上行加密后,通过OMCI设备的OMCI实体ONU2-G,对OLT与ONU当前所协商采用的加密算法进行动态切换,根据该动态切换后的加密算法,与ONU之间进行密钥同步,再在密钥同步后,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,并将超帧计数器的目标值或Key Index发送至所述ONU,以通知ONU从指定帧开始使用新密钥或新的加密算法,实现对上行业务报文进行加解密,从而使得在FTTR(Fiber To The Room,光纤到房间)场景下的GPON非对称和GPON对称,增加上行加密,进而使得FTTR场景下的各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)能够支持上下行加密使能策略、SM4加密算法以及加密算法动态切换策略,有效实现PON***支持多种加密算法,以及各算法动态切换的需求。
为了助于理解本申请实施例,列举一具体实施例中OLT与ONU之间的密钥交互和更新的技术原理,包括:
在本实施例中,根据OMCI实体ONU2-G对加密算法进行切换后,OLT与ONU之间通过一系列的PLOAM消息进行密钥交互和更新。
对于GPON非对称、GPON对称这两种PON模式,OLT通过发送下行PLOAM消息Request_Key向ONU请求新的密钥,ONU做出响应:产生、存储密钥并通过上行PLOAM消息Encryption_Key将密钥发送给OLT。由于PLOAM消息的长度限制,密钥被切分成两部分发送,使用Frag_Index字段指示正在发送的密钥的哪个部分。密钥的两个部分都发送三次。使用Key_Index字段来指示正在发送的密钥属于哪个ONU。如果该OLT三次都未成功接收到密钥的任何一部分,则OLT将通过发出新的Request_Key消息请求ONU生成另一个密钥。如果密钥传输失败三次,则OLT应声明密钥同步丢失并停用ONU。如果OLT成功接收到密钥,它就会将验证的密钥存储在Shadow_Key_Register中。
OLT成功接收到密钥之后会进行密钥的更新,OLT通过PLOAM消息Key_Switching_Time将超帧计数器(SFC,Super-frame Counter)的值发送给ONU,该消息会发送三次,ONU仅需要接收到其中一个就能够获取密钥更新的时间,即从哪一帧开始更新密钥或新加密算法。在指定帧的开始,OLT复制Shadow_Key_Register的内容到Active_Key_Register,ONU将赋值它的Shadow_Key_Register到Active_Key_Register。从指定帧之后OLT和ONU都开始使用新密钥或新的加密算法,完成密钥的更新。
对于GPON非对称、GPON对称这两种PON模式,加密算法切换后以密钥更新ONU收到OLT发送的SFC值(即上述的超帧计数器的目标值)为基准生效。
需要说明的是,该具体实施例一阐述的诸多细节仅助于理解本申请的技术原理或技术构思,并不构成对本申请的限定,基于本申请的该技术构思进行更多形式的简单变换,均应在本申请的保护范围内。
在一种可能的实施方式中,所述步骤S300,根据所述动态切换后的加密算法,与所述ONU之间进行密钥同步的步骤包括:
步骤S310,根据所述动态切换后的加密算法,指示所述ONU生成新密钥;
在本实施例中,OLT可通过发送密钥请求消息Request_Key消息指示所述ONU生成新密钥。
具体地,根据动态切换后的加密算法对应的算法类型,指示ONU生成新密钥。例如,动态切换后的加密算法对应的算法类型为SM4,指示ONU生成的新密钥即为基于该SM4算法而生成的新密钥。
步骤S320,收到所述ONU上报的新密钥后,指定新密钥开始生效的密钥切换时间,并向所述ONU通知所述密钥切换时间;
在本实施例中,OLT可通过发送密钥切换时间消息Key_Switching_Time消息,向ONU通知该密钥切换时间。
步骤S330,收到所述ONU反馈的收到密钥切换时间的响应后,在所述密钥切换时间将所述新密钥设置到当前使用密钥的寄存器中。
其中,ONU接收到OLT发送的密钥切换时间后,会向ONU反馈收到密钥切换时间的响应。
在本实施例中,具体地,OLT和ONU可采用ITU-T G.984.3标准中的消息进行交互,其中,OLT通过发送密钥请求消息Request_Key消息指示ONU生成新密钥,通过发送密钥切换时间消息Key_Switching_Time消息通知ONU该密钥切换时间。在密钥同步后,可通过发送GEM-PORT加密消息Encrypted_Port_ID消息通知ONU打开GEM-PORT的解密功能。ONU通过发送密钥请求响应消息Encryption_Key消息向OLT上报新密钥,通过发送告知确认Acknowledge消息通知OLT已经收到了所述密钥切换时间。
本实施例通过根据动态切换后的加密算法,指示ONU生成新密钥,在收到ONU上报的新密钥后,指定新密钥开始生效的密钥切换时间,并向ONU通知密钥切换时间,然后在收到ONU反馈的收到密钥切换时间的响应后,在所述密钥切换时间将所述新密钥设置到当前使用密钥的寄存器中,从而确保ONU与OLT侧的密钥切换时间是一致的,若不一致将会导致OLT接收不到ONU发送来的数据。
在一种可能的实施方式中,在无源光网络***为GPON非对称***或者GPON对称***的情况下,通过PLOAM消息,将所述超帧计数器的目标值发送至所述ONU,其中,所述将所述超帧计数器的目标值发送至所述ONU的步骤,包括:
步骤B10,向所述ONU发送Encrypted_Port_ID消息,其中,所述Encrypted_Port_ID消息携带所述超帧计数器的目标值。
在本实施例中,在密钥同步后,OLT可通过打开GPON封装方法通道(GEM-PORT)的加密功能,并通过发送GEM-PORT加密消息 Encrypted_Port_ID 消息通知ONU打开GEM-PORT的解密功能。
本实施例通过向ONU发送Encrypted_Port_ID消息,其中,该Encrypted_Port_ID消息携带超帧计数器的目标值,从而使得本申请实施例通过Encrypted_Port_ID消息携带超帧计数器值的方式,可以避免OLT和ONU两边交互消息导致采用新密钥或新的加密算法对信息帧不同步的问题,实现Port-ID加解密使能的无缝切换,保证上行数据流不丢包,充分保证了OLT与ONU之间数据交互的可靠性。
此外,为了实现上述目的,请参照图2,图2为本申请第二实施例中无源光网络***的业务加密方法的流程示意图。如图2所示,本申请实施例还提出一种无源光网络***的业务加密方法,所述业务加密方法应用于光网络单元ONU,包括:
步骤S500,接收光线路终端OLT发送的加密使能信息;
在本实施例中,可接收光线路终端OLT发送的加密使能信息。
其中,所述加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密。
本申请实施例无源光网络***的业务加密方法可应用于PON***家庭或者企业组网应用,以及FTTR场景等等,本实施例不作具体的限定。
本领域技术人员可知的是,PLOAM(Physical Layer Operations Administrationand Maintenance, 物理层操作管理和维护)消息是指GPON协议层中传输汇聚层***协议栈的物理层操作管理和维护。OMCI(ONU Management and Control Interface,光网络单元管理控制接口)消息是GPON标准中定义的一种OLT与ONT之间信息交互的协议,用于在GPON网络中OLT对ONT的管理,包括配置管理、故障管理、性能管理和安全管理等。
具体地,该加密使能信息中可携带有加密使能标识,所述加密使能标识用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密。
示例性地,所述加密使能信息中通过如下方式携带有加密使能标识,包括:
步骤C10,通过在所述加密使能信息中的PTI (Payload Type Indicator,静荷类型指示)字段的指定比特携带加密使能标识,其中,所述指定比特取值为第一指定值表示不开启加密,所述指定比特取值为第二指定值表示仅开启上行加密,所述指定比特取值为第三指定值表示仅开启下行加密,所述指定比特取值为第四指定值表示开启上下行加密。
在本实施例中,容易理解的是,该第一指定值、第二指定值、第三指定值和第四指定值均不相同。不同的指定值指示不同的加密模式。
本申请实施例能实现对各种PON模式进行上下行加密使能。对于不同的应用场景,各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式),均支持通过标准PLOAM消息、OMCI消息或者自定义PLOAM消息、OMCI消息进行加密使能动作,包括不开启加密、仅开启上行加密、仅开启下行加密、开启上下行加密这四种上下行加密使能策略。
进一步地,本申请实施例可实现在同一PON口下的不同ONU的混合加密,根据业务重要性的不同,在同一PON口下的不同ONU可以使用不同的加密算法,OLT通过OMCI实体ONU2-G配置各ONU的加密算法。具体地,可以通过广播将同一PON口下的所有ONU都配置为同一种加密算法,也可以通过单播和组播配置指定某个或某组ONU配置为一种加密算法。
本发明实施例通过对GPON非对称和GPON对称PON模式增加上行加密以及帧间隔的配置规则,对各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)增加上下行加密使能策略、SM4加密算法以及加密算法动态切换策略,对于OLT的同一PON口下的不同ONU提出混合加密策略,从而实现FTTR加密方法。
步骤S500之后,执行步骤S600,在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对所述OLT与所述ONU当前所协商采用的加密算法进行动态切换;
一般情况下,PON***由三个部分组成:OLT(Optical Line Termination,光线路终端)、ODN(Optical Distribution Network,光分布网)和ONU/ONT
(Optical Network Unit,光网络单元/Optical Network Termination,光网络终端)。OLT为PON***提供网络侧接口(SNI,Service Network Interface),连接一个或多个ODN。无源分光器件,将OLT下行的数据分路传输到各个ONU,同时将多个ONU/ONT的上行数据汇总传输到OLT。
本领域技术人员可知的是,从OLT到ONU称为下行,反之为上行。
在本实施例中,由于ONU和OLT已经完成了密钥同步,因此,在上行加密过程中,ONU和OLT当前使用的密钥一致,OLT和ONU能够使用相同的密钥进行加密/解密,不会出现上行帧丢包。
其中,本实施例中加密算法进行动态切换的密钥协商过程的发起方不一定是OLT,也可能是ONU,也可能是双方共同发起,本实施例对此不作具体的限定。
在一示例中,可通过由OLT和ONU根据随机数和***参数生成加密密钥进行密钥协商的,整个协商过程中传输的是由随机数和***参数生成的传递数,从而使得即使窃听者获取了传递数,甚至其获取了***参数,也因为不知道随机数而无法获得加密密钥,与相关技术中通过网络直接传输明文密钥相比,可大大提高密钥协商过程的安全性。另外,本实施例发送的该传递数或响应消息是采用分片后多次发送的方式进行的,将数据分片发送可以有效提高数据传输的安全性,而采用多次发送方式可以提高数据传输的可靠性。若OLT或ONU接收传递数时有任一分片每次都接收失败,则重新发送请求更新加密密钥消息;若已连续发送请求更新加密密钥消息次数大于预定请求更新加密密钥消息次数,则宣告密钥协商失败。
需要说明的是,OLT与ONU当前所协商采用的加密算法包括但不限于:AES-128、AES-256、Camellia-128、Camellia-256和SM4等加密算法。
其中,本领域技术人员可知的是,OMCI实体ONU2-G为现有技术中进行加密算法动态切换的虚拟装置或者实体单元,在此不再赘述。需要说明的是,目前OMCI实体ONU2-G暂未用于上行传输数据的加密算法动态切换。
在本实施例中,在根据OMCI实体ONU2-G进行加密算法动态切换的过程中,各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)都支持多种加密算法(包括但不限于AES-128、AES-256、Camellia-128、Camellia-256和SM4)。具体地,ONU通过OMCI实体ONU2-G中的Security capability属性向OLT上报ONU支持的加密算法,在实例化ONU时会将实体ONU2-G中的Security mode属性设置为某一特定值,如设置为1,即使用AES-128加密算法。
示例性地,OLT通过OMCI实体ONU2-G中的Security mode属性设置ONU的加密算法,如OMCI实体ONU2-G中Security mode值为1则将加密算法切换为AES-128加密算法,如OMCI实体Security mode值为5则切换为SM4加密算法。在ONU作出响应之后实现加密算法的切换。
步骤S600之后,执行步骤S700,根据所述动态切换后的加密算法,与所述OLT之间进行密钥同步;
步骤S800,在密钥同步后,接收所述OLT发送的超帧计数器的目标值或Key Index,根据所述超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法。
示例性地,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,包括:
在无源光网络***为GPON非对称***或者GPON对称***的情况下,根据超帧计数器的目标值,从指定帧开始使用新密钥或新的加密算法;
在无源光网络***为XGPON或者XGSPON***的情况下,根据Key Index的变化,从指定帧开始使用新密钥或新的加密算法。
在本实施例中,可通过PLOAM消息或OMCI消息,接收OLT发送的超帧计数器的目标值或Key Index。
示例性地,所述OLT和所有所述ONU均使用经过同步的所述超帧计数器,所述超帧计数器包括帧内计数器和帧间计数器,所述超帧计数器的宽度为46比特,其中,低16比特为所述帧内计数器,高30比特为所述帧间计数器,对于所述上行加密,所述帧内计数器在上行帧开始置为0,每4字节递增,所述帧间计数器包含在下行GTC帧的GTC Header字段中,所述GTC Header字段指定传输上行GEM帧的上行GTC突发。
具体地,在所述无源光网络***为GPON非对称***或者GPON对称***的情况下,在上行方向,GTC成帧子层的突发被划分为4字节的多个数据块,各所述数据块从S到(S+X)顺序编号;
其中,S=|_目标StartTime/m_|,目标StartTime为DLL成帧子层突发第一个分配的StartTime,StartTime用于指示带宽分配时隙的开始时间,X为所述数据块的数量减去一(即X为GTC上行突发中数据块的数量减去一),
m为针对上行数据传输速率而预设的数值,其中,对于1.25G上行,m=4,对于2.5G上行,m=2;
所述超帧计数器包括帧内计数器和帧间计数器,其中,所述帧内计数器的值包括所有FEC校验字节。
需要说明的是,在CTR(counter mode,计数器模式)模式中,OLT和所有ONU都使用经过同步的超帧计数器(SFC,Superframe Counter)。超帧计数器的宽度为46比特,其中,低16比特为帧内计数器,高30比特是帧间计数器。帧内计数器在下行帧开始时置为0,每4字节递增。上下行加密中超帧计数器的值可以包含所有FEC(forward error correction,前向纠错)校验字节,当然,上下行加密中超帧计数器的值也可以不包含所有FEC校验字节,本实施例对此不作具体的限定。
具体地,帧内计数器在下行帧开始位置为0(PHY Header的第一个字节),每4字节递增。在下行速率2.488Gbit/s***内,帧内计数器范围为0至9719。
在上行方向,DLL(Dynamic Link Library,动态链接库)成帧子层的突发被划分为4字节的块,这些块从S到(S+X)顺序编号。此处S=|_StartTime/m_|,其中,对于1.25G上行,m=4;对于2.5G上行,m=2。|_xxx_|表示xxx向下取整,StartTime为DLL成帧子层突发第一个allocation的StartTime,X是DLL突发中完整和不完整的4字节块的数量减去1。需要注意的是,加密处理步骤在FEC之前。然而,帧内计数器的值来自发送的帧,因此在一般情况下,下行和上行帧内计数器的值中要包括所有FEC校验字节,最后再进行扰码处理。
在上行方向上,帧间计数器包含在下行GTC帧的PCBd(Physical Control Blockdownstream,下行物理层控制块)字段中,该字段指定传输上行GTC帧的上行突发。ONU实现一个经过同步的本地计数器,因此可以修复这个域的错误。随机密码块与GEM净荷的起始位置对齐。
在本实施例中,只对GEM帧/分片的净荷进行加密,GEM帧头不进行加密。由于GEM分片不一定是一个完整的编码块,所以尾数据块(长度为1到16字节)与尾密码块(长度为16字节)的MSB进行异或运算。尾密码块的其余部分将会被丢弃。
在一实施例中,所述指定帧为所述超帧计数器的值达到该目标值时对应的信息帧,根据所述超帧计数器的目标值,确定从指定帧开始使用新的解密密钥进行解密的步骤,具体可包括:根据所述超帧计数器的目标值,在所述ONU侧配置的超帧计数器的值达到该目标值时,开始使用新的解密密钥,其中,所述ONU侧配置的超帧计数器与所述ONT侧配置的超帧计数器同步。
本实施例通过在密钥同步后,可通过PLOAM消息或OMCI消息,接收OLT发送的超帧计数器的目标值或Key Index,根据该超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,可以避免OLT和ONU两边交互消息导致新密钥启用时间不一致的问题,实现Port-ID加解密使能的无缝切换,保证上行数据流不丢包。
值得一提的是,本申请实施例提供一种FTTR(Fiber to the Rome,光纤到房间)加密的实现方法。对于FTTR场景下的GPON非对称和GPON对称,能够实现增加上行加密以及帧间隔(IPG,Inter-packet Gap)的配置规则。而对于FTTR场景下的各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)增加上下行加密使能策略、SM4加密算法以及加密算法动态切换策略;对于OLT的同一PON口下的不同ONU提出混合加密策略。
本申请提出一种无源光网络***的业务加密方法、电子设备及存储介质,在无源光网络***的业务加密方法中,本申请实施例的技术方案是接收光线路终端OLT发送的加密使能信息,其中,加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密,在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对OLT与ONU当前所协商采用的加密算法进行动态切换,并根据动态切换后的加密算法,与OLT之间进行密钥同步,然后在密钥同步后,接收所述OLT发送的超帧计数器的目标值或Key Index,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,完成对上行业务报文进行加解密,从而使得在FTTR(Fiber To The Room,光纤到房间)场景下的GPON非对称和GPON对称,增加上行加密,进而使得FTTR场景下的各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)能够支持上下行加密使能策略、SM4加密算法以及加密算法动态切换策略,有效实现PON***支持多种加密算法,以及各算法动态切换的需求。
在一种可能的实施方式中,所述步骤S700,根据所述动态切换后的加密算法,与所述OLT之间进行密钥同步的步骤包括:
步骤S710,根据所述动态切换后的加密算法,通过所述OLT指示所述ONU生成新密钥;
在本实施例中,ONU可通过接收OLT发送的密钥请求消息Request_Key消息,根据Request_Key消息触发ONU生成新密钥。
具体地,根据动态切换后的加密算法对应的算法类型,通过OLT指示ONU生成新密钥。例如,动态切换后的加密算法对应的算法类型为SM4,指示ONU生成的新密钥即为基于该SM4算法而生成的新密钥。
步骤S720,将所述新密钥上报至所述ONU,以触发所述OLT指定新密钥开始生效的密钥切换时间;
在本实施例中,ONU可通过接收OLT发送的密钥切换时间消息Key_Switching_Time消息,根据Key_Switching_Time消息获取该密钥切换时间。
步骤S730,接收所述OLT响应于新密钥而返回的所述密钥切换时间,并向所述OLT反馈接收到所述密钥切换时间的响应,以触发所述OLT在所述密钥切换时间将所述新密钥设置到当前使用密钥的寄存器中。
在本实施例中,具体地,OLT和ONU可采用ITU-T G.984.3标准中的消息进行交互,其中,OLT 通过发送密钥请求消息Request_Key消息指示ONU生成新密钥,通过发送密钥切换时间消息Key_Switching_Time消息通知ONU该密钥切换时间。在密钥同步后,可通过发送GEM-PORT加密消息Encrypted_Port_ID消息通知ONU打开GEM-PORT的解密功能。ONU通过发送密钥请求响应消息Encryption_Key消息向OLT上报新密钥,通过发送告知确认Acknowledge消息通知OLT已经收到了所述密钥切换时间。
本实施例通过根据动态切换后的加密算法,通过OLT指示ONU生成新密钥,将该新密钥上报至ONU,以触发OLT指定新密钥开始生效的密钥切换时间,接收OLT响应于新密钥而返回的所述密钥切换时间,并向OLT反馈接收到所述密钥切换时间的响应,以触发OLT在密钥切换时间将新密钥设置到当前使用密钥的寄存器中,从而确保ONU与OLT侧的密钥切换时间是同步的,若不同步将会导致OLT接收不到ONU发送来的数据。
在一种可能的实施方式中,在无源光网络***为GPON非对称***或者GPON对称***的情况下,通过PLOAM消息,接收所述OLT发送的超帧计数器的目标值,其中,所述接收所述OLT发送的超帧计数器的目标值的步骤,包括:
步骤D10,接收所述OLT发送的Encrypted_Port_ID消息;
步骤D20,根据所述Encrypted_Port_ID消息,确定超帧计数器的目标值。
在本实施例中,在密钥同步后,OLT可通过打开GPON封装方法通道(GEM-PORT)的加密功能,并通过发送GEM-PORT加密消息 Encrypted_Port_ID 消息通知ONU打开GEM-PORT的解密功能。
本实施例通过接收OLT发送的Encrypted_Port_ID消息,并根据Encrypted_Port_ID消息,确定超帧计数器的目标值,从而使得本申请实施例通过Encrypted_Port_ID消息携带超帧计数器值的方式,可以避免OLT和ONU两边交互消息导致采用新密钥或新加密算法对信息帧不同步的问题,实现Port-ID加解密使能的无缝切换,保证上行数据流不丢包,充分保证了OLT与ONU之间数据交互的可靠性。
为了助于理解本申请实施例的技术原理或技术构思,列举具体实施例二,包括:
(1)在发送端对明文进行加密得到密文
在发送端对每个数据块根据46比特长的同步计数器值按照如下方式推导出加密算法的128比特输入:46比特复制3次后变成一个138比特的序列,高位10比特会被丢弃。剩余的128比特按照加密算法(包括但不限于AES-128、AES-256、Camellia-128、Camellia-256和SM4)进行加密,生成128比特随机密码,然后与净荷数据进行异或操作。
对于下行方向传输,发送端是OLT,接收端是ONU,OLT对明文加密得到密文,并将密文发送到ONU。对于上行方向传输,发送端是ONU,接收端是OLT,ONU对明文加密得到密文,并将密文发送到OLT。
(2)在接收端对密文进行解密得到明文
由于OLT和ONU的计数器值和密钥是同步的,所以在接收端对接收到的密文与相同的128比特随机密码进行异或就能解密得到明文。
(3)GPON非对称和GPON对称的另外两种加密使能方案
通过Encrypted_Port-ID message或者GEM帧中的PTI字段进行修改来实现GPON非对称和GPON对称的加密使能。
将GPON非对称和GPON对称的下行PLOAM消息Encrypted_Port-ID message用来指示下行加密使能时间或者上下行加密使能时间。Encrypted_Port-ID message中未使用的第6到第12字节中的某4个字节用于表示密钥交换后新密钥生效的第一帧的SFC值。如下面表格中使用第6字节到第9字节来表示密钥交换后生效的第一帧的SFC值,第6字节的6个最低有效位是密钥交换后生效的第一帧的SFC值的6个最高有效位,第9字节是密钥交换后生效的第一帧的SFC值的8个最低有效位,第7字节和第8字节是中间位。如下表格所示:
在本实施例中,将GEM帧中的PTI字段的第2个比特的值用来表示是否开启加密,PTI字段的第2个比特的值为1表示开启加密,PTI字段的第2个比特的值为0表示没有开启加密。如下表格所示:
PTI编码 含义
000 用户数据段,不是帧尾,不加密
001 用户数据段,是帧尾,不加密
010 用户数据段,不是帧尾,加密
011 用户数据段,是帧尾,加密
100 GEM OAM,不是帧尾,不加密
101 GEM OAM,是帧尾,不加密
110 GEM OAM,不是帧尾,加密
111 GEM OAM,是帧尾,加密
在本实施例中,根据上下行GEM帧中的PTI字段的值能够判断当前传输方向上是否开启加密。
需要说明的是,该具体实施例二阐述的诸多细节仅助于理解本申请的技术原理或技术构思,并不构成对本申请的限定,基于本申请的该技术构思进行更多形式的简单变换,均应在本申请的保护范围内。
为了进一步助于理解本申请实施例的技术原理或技术构思,列举具体实施例三,包括:
本实施例提供一种FTTR(Fiber To The Room,光纤到房间)加密的实现方法,该方法包括:
1、GPON非对称和GPON对称增加上行加密以及帧间隔的配置规则,上行GTC突发中GEM帧的IFC值的获取,根据同步计数器的帧内计数器(IFC)的值获得对应GEM帧的IFC值。同步计数器IFC=N时,GEM帧头第一个字节的位置被标注。该字节位置的同步计数器值用作GTC上行突发的密码块计数器的值。对于GTC上行突发中接下来的密码块,计数器对每个块递增1。这种方法可以保证计数器的同一值不会被重复使用。
2、上下行加密使能。
3、根据OMCI实体ONU2-G进行加密算法的切换。
4、同一PON口下的不同ONU的混合加密。
5、加密算法切换后OLT与ONU之间根据新的加密算法进行密钥交互和更新。加密算法切换后以密钥更新SFC为基准生效。加密算法切换后可通过以Key Index变化为基准生效。
6、在发送端对明文进行加密得到密文。
7、在接收端对密文进行解密得到明文。
8、GPON非对称和GPON对称的Encrypted_Port-ID message和GEM帧中的PTI字段进行修改。
需要说明的是,该具体实施例三阐述的诸多细节仅助于理解本申请的技术原理或技术构思,并不构成对本申请的限定,基于本申请的该技术构思进行更多形式的简单变换,均应在本申请的保护范围内。
此外,本申请实施例还提供一种无源光网络***的业务加密方法,所述业务加密方法应用于FTTR主设备MFU(Main FTTR Unit),包括:
将加密使能信息发送至FTTR从设备SFU(Sub FTTR Unit),其中,所述加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密;
在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对所述MFU与所述SFU当前所协商采用的加密算法进行动态切换;
根据所述动态切换后的加密算法,与所述SFU之间进行密钥同步;
在密钥同步后,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,并将所述超帧计数器的目标值或Key Index发送至所述SFU。
本申请提出一种无源光网络***的业务加密方法、电子设备及存储介质,在无源光网络***的业务加密方法中,本申请实施例的技术方案是将加密使能信息发送至FTTR从设备SFU,其中,该加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密,然后在使能开启上下行加密或者开启上行加密后,通过OMCI设备的OMCI实体ONU2-G,对MFU与SFU当前所协商采用的加密算法进行动态切换,根据该动态切换后的加密算法,与SFU之间进行密钥同步,再在密钥同步后,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,并将超帧计数器的目标值或Key Index发送至SFU,以通知SFU从指定帧开始使用新密钥或新的加密算法,以对上行业务报文进行加解密,从而使得在FTTR(Fiber To The Room,光纤到房间)场景下的GPON非对称和GPON对称,增加上行加密,进而使得FTTR场景下的各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)能够支持上下行加密使能策略、SM4加密算法以及加密算法动态切换策略,有效实现PON***支持多种加密算法,以及各算法动态切换的需求。
在一些实施例中,在无源光网络***为GPON非对称***或者GPON对称***的情况下,根据超帧计数器的目标值,从指定帧开始使用新密钥或新的加密算法;
在无源光网络***为XGPON或者XGSPON***的情况下,根据Key Index的变化,从指定帧开始使用新密钥或新的加密算法。
在一些实施例中,在所述无源光网络***为GPON非对称***或者GPON对称***的情况下,在上行方向,GTC成帧子层的突发被划分为4字节的多个数据块,各所述数据块从S到(S+X)顺序编号;
其中,S=|_目标StartTime/m_|,目标StartTime为DLL成帧子层突发第一个分配的StartTime,StartTime用于指示带宽分配时隙的开始时间,X为所述数据块的数量减去一(即X为GTC上行突发中数据块的数量减去一),
m为针对上行数据传输速率而预设的数值,其中,对于1.25G上行,m=4,对于2.5G上行,m=2;
所述超帧计数器包括帧内计数器和帧间计数器,其中,所述帧内计数器的值包括所有FEC校验字节。
在一些实施例中,所述根据所述动态切换后的加密算法,与所述SFU之间进行密钥同步的步骤包括:
根据所述动态切换后的加密算法,指示所述SFU生成新密钥;
收到所述SFU上报的新密钥后,指定新密钥开始生效的密钥切换时间,并向所述SFU通知所述密钥切换时间;
收到所述SFU反馈的收到密钥切换时间的响应后,在所述密钥切换时间将所述新密钥设置到当前使用密钥的寄存器中。
在一些实施例中,所述方法还包括:
通过发送密钥请求消息Request_Key消息指示所述SFU生成新密钥;
通过发送密钥切换时间消息Key_Switching_Time消息,向所述SFU通知所述密钥切换时间。
在一些实施例中,在无源光网络***为GPON非对称***或者GPON对称***的情况下,通过PLOAM消息,将所述超帧计数器的目标值发送至所述SFU,其中,所述将所述超帧计数器的目标值发送至所述SFU的步骤,包括:
向所述SFU发送Encrypted_Port_ID消息,其中,所述Encrypted_Port_ID消息携带所述超帧计数器的目标值。
在一些实施例中,所述加密使能信息中通过如下方式携带有加密使能标识,包括:
通过在所述加密使能信息中的PTI字段的指定比特携带加密使能标识,其中,所述指定比特取值为第一指定值表示不开启加密,所述指定比特取值为第二指定值表示仅开启上行加密,所述指定比特取值为第三指定值表示仅开启下行加密,所述指定比特取值为第四指定值表示开启上下行加密。
在一些实施例中,所述MFU和所有所述SFU均使用经过同步的所述超帧计数器,所述超帧计数器包括帧内计数器和帧间计数器,所述超帧计数器的宽度为46比特,其中,低16比特为所述帧内计数器,高30比特为所述帧间计数器,对于所述上行加密,所述帧内计数器在上行帧开始置为0,每4字节递增,所述帧间计数器包含在下行GTC帧的GTC Header字段中,所述GTC Header字段指定传输上行GEM帧的上行GTC突发。
本发明实施例提供的无源光网络***的业务加密方法,采用上述实施例相同或相似的技术特征,能实现PON***支持多种加密算法,以及各算法动态切换的需求。与现有技术相比,本发明实施例提供的无源光网络***的业务加密方法的有益效果与上述实施例提供的无源光网络***的业务加密方法的有益效果相同,且所述无源光网络***的业务加密方法中的其他技术特征与上述实施例方法一公开的特征相同,在此不做赘述。
此外,本申请实施例还提供一种无源光网络***的业务加密方法,所述业务加密方法应用于FTTR从设备SFU,包括:
接收FTTR主设备MFU发送的加密使能信息,其中,所述加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密;
在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对所述MFU与所述SFU当前所协商采用的加密算法进行动态切换;
根据所述动态切换后的加密算法,与所述MFU之间进行密钥同步;
在密钥同步后,接收所述MFU发送的超帧计数器的目标值或Key Index,根据所述超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法。
本申请提出一种无源光网络***的业务加密方法、电子设备及存储介质,在无源光网络***的业务加密方法中,本申请实施例的技术方案是接收FTTR主设备MFU发送的加密使能信息,其中,加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密,在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对MFU与SFU当前所协商采用的加密算法进行动态切换,并根据动态切换后的加密算法,与MFU之间进行密钥同步,然后在密钥同步后,接收MFU发送的超帧计数器的目标值或Key Index,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,以对上行业务报文进行加解密,从而使得在FTTR(Fiber To The Room,光纤到房间)场景下的GPON非对称和GPON对称,增加上行加密,进而使得FTTR场景下的各种PON模式(包括但不限于GPON非对称、GPON对称、XGPON非对称、XGPON对称等PON模式)能够支持上下行加密使能策略、SM4加密算法以及加密算法动态切换策略,有效实现PON***支持多种加密算法,以及各算法动态切换的需求。
在一些实施例中,在无源光网络***为GPON非对称***或者GPON对称***的情况下,根据超帧计数器的目标值,从指定帧开始使用新密钥或新的加密算法;
在无源光网络***为XGPON或者XGSPON***的情况下,根据Key Index的变化,从指定帧开始使用新密钥或新的加密算法。
在一些实施例中,在所述无源光网络***为GPON非对称***或者GPON对称***的情况下,在上行方向,GTC成帧子层的突发被划分为4字节的多个数据块,各所述数据块从S到(S+X)顺序编号;
其中,S=|_目标StartTime/m_|,目标StartTime为DLL成帧子层突发第一个分配的StartTime,StartTime用于指示带宽分配时隙的开始时间,X为所述数据块的数量减去一(即X为GTC上行突发中数据块的数量减去一),
m为针对上行数据传输速率而预设的数值,其中,对于1.25G上行,m=4,对于2.5G上行,m=2;
所述超帧计数器包括帧内计数器和帧间计数器,其中,所述帧内计数器的值包括所有FEC校验字节。
在一些实施例中,所述方法还包括:
接收所述MFU发送的密钥请求消息Request_Key消息,根据所述Request_Key消息触发所述SFU生成新密钥;
接收所述MFU发送的密钥切换时间消息Key_Switching_Time消息,根据所述Key_Switching_Time消息获取所述密钥切换时间。
在一些实施例中,在无源光网络***为GPON非对称***或者GPON对称***的情况下,通过PLOAM消息,接收所述MFU发送的超帧计数器的目标值,其中,所述接收所述MFU发送的超帧计数器的目标值的步骤,包括:
接收所述MFU发送的Encrypted_Port_ID消息;
根据所述Encrypted_Port_ID消息,确定超帧计数器的目标值。
在一些实施例中,所述加密使能信息中通过如下方式携带有加密使能标识,包括:
通过在所述加密使能信息中的PTI 字段的指定比特携带加密使能标识,其中,所述指定比特取值为第一指定值表示不开启加密,所述指定比特取值为第二指定值表示仅开启上行加密,所述指定比特取值为第三指定值表示仅开启下行加密,所述指定比特取值为第四指定值表示开启上下行加密。
在一些实施例中,所述MFU和所有所述SFU均使用经过同步的所述超帧计数器,所述超帧计数器包括帧内计数器和帧间计数器,所述超帧计数器的宽度为46比特,其中,低16比特为所述帧内计数器,高30比特为所述帧间计数器,对于所述上行加密,所述帧内计数器在上行帧开始置为0,每4字节递增,所述帧间计数器包含在下行GTC帧的GTC Header字段中,所述GTC Header字段指定传输上行GEM帧的上行GTC突发。
本发明实施例提供的无源光网络***的业务加密方法,采用上述实施例相同或相似的技术特征,能实现PON***支持多种加密算法,以及各算法动态切换的需求。与现有技术相比,本发明实施例提供的无源光网络***的业务加密方法的有益效果与上述实施例提供的无源光网络***的业务加密方法的有益效果相同,且所述无源光网络***的业务加密方法中的其他技术特征与上述实施例方法一公开的特征相同,在此不做赘述。
图3示出了本申请一示例性实施例示出的电子设备1800的结构框图。所述电子设备1800包括中央处理单元(Central Processing Unit,CPU)1801、包括随机存取存储器(Random Access Memory,RAM)1802和只读存储器(Read-Only Memory,ROM)1803的***存储器1804,以及连接***存储器1804和中央处理单元1801的***总线1805。所述电子设备1800还包括用于存储操作***1809、客户端1810和其他程序模块1811的存储设备1806。
不失一般性,所述计算机可读介质可以包括计算机存储介质和通信介质。计算机存储介质包括以用于存储诸如计算机可读指令、数据结构、程序模块或其他数据等信息的任何方法或技术实现的易失性和非易失性、可移动和不可移动介质。计算机存储介质包括RAM、ROM、可擦除可编程只读寄存器(Erasable Programmable Read Only Memory,EPROM)、电子抹除式可复写只读存储器(Electrically-Erasable Programmable Read-OnlyMemory,EEPROM)闪存或其他固态存储其技术,CD-ROM、数字多功能光盘(DigitalVersatile Disc,DVD)或其他光学存储、磁带盒、磁带、磁盘存储或其他磁性存储设备。当然,本领域技术人员可知所述计算机存储介质不局限于上述几种。上述的***存储器1804和存储设备1806可以统称为存储器。
根据本公开的各种实施例,所述电子设备1800还可以通过诸如因特网等网络连接到网络上的远程计算机运行。也即电子设备1800可以通过连接在所述***总线1805上的网络接口单元1807连接到网络1808,或者说,也可以使用网络接口单元1807来连接到其他类型的网络或远程计算机***(未示出)。
所述存储器还包括至少一条指令、至少一段程序、代码集或指令集,所述至少一条指令、至少一段程序、代码集或指令集存储于存储器中,中央处理器1801通过执行该至少一条指令、至少一段程序、代码集或指令集来实现上述各个实施例所示的无源光网络***的业务加密方法中的全部或部分步骤。
在一示例性实施例中,还提供了一种计算机可读存储介质,该计算机可读存储介质中存储有至少一条计算机程序,该计算机程序由处理器加载并执行以实现上述无源光网络***的业务加密方法中的全部或部分步骤,或者实现上述无源光网络***的业务加密方法中的全部或部分步骤。例如,该计算机可读存储介质可以是只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)、只读光盘(Compact DiscRead-Only Memory,CD-ROM)、磁带、软盘和光数据存储设备等。
在一示例性实施例中,还提供了一种计算机程序产品,该计算机程序产品包括至少一条计算机程序,该计算机程序由处理器加载并执行上述任一实施例所示的上述无源光网络***的业务加密方法中的全部或部分步骤,或者上述无源光网络***的业务加密方法中的全部或部分步骤。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (12)

1.一种无源光网络***的业务加密方法,所述业务加密方法应用于光线路终端OLT,包括:
将加密使能信息发送至光网络单元ONU,其中,所述加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密;
在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对所述OLT与所述ONU当前所协商采用的加密算法进行动态切换;
根据所述动态切换后的加密算法,与所述ONU之间进行密钥同步;
在密钥同步后,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,并将所述超帧计数器的目标值或Key Index发送至所述ONU;
其中,在所述无源光网络***为GPON非对称***或者GPON对称***的情况下,在上行方向,GTC成帧子层的突发被划分为4字节的多个数据块,各所述数据块从S到(S+X)顺序编号;
其中,S=|_目标StartTime/m_|,|_目标StartTime/m_|表示目标StartTime/m向下取整,目标StartTime为DLL成帧子层突发第一个分配的StartTime,StartTime用于指示带宽分配时隙的开始时间,X为所述数据块的数量减去一,
m为针对上行数据传输速率而预设的数值,其中,对于1.25G上行,m=4,对于2.5G上行,m=2;
所述超帧计数器包括帧内计数器和帧间计数器,其中,所述帧内计数器的值包括所有FEC校验字节。
2.如权利要求1所述的业务加密方法,其特征在于,根据超帧计数器的目标值或KeyIndex,确定从指定帧开始使用新密钥或新的加密算法,包括:
在无源光网络***为GPON非对称***或者GPON对称***的情况下,根据超帧计数器的目标值,从指定帧开始使用新密钥或新的加密算法;
在无源光网络***为XGPON或者XGSPON***的情况下,根据Key Index的变化,从指定帧开始使用新密钥或新的加密算法。
3.如权利要求1所述的业务加密方法,其特征在于,所述根据所述动态切换后的加密算法,与所述ONU之间进行密钥同步的步骤包括:
根据所述动态切换后的加密算法,指示所述ONU生成新密钥;
收到所述ONU上报的新密钥后,指定新密钥开始生效的密钥切换时间,并向所述ONU通知所述密钥切换时间;
收到所述ONU反馈的收到密钥切换时间的响应后,在所述密钥切换时间将所述新密钥设置到当前使用密钥的寄存器中。
4.如权利要求3所述的业务加密方法,其特征在于,所述方法还包括:
通过发送密钥请求消息Request_Key消息指示所述ONU生成新密钥;
通过发送密钥切换时间消息Key_Switching_Time消息,向所述ONU通知所述密钥切换时间。
5.如权利要求4所述的业务加密方法,其特征在于,在无源光网络***为GPON非对称***或者GPON对称***的情况下,通过PLOAM消息,将所述超帧计数器的目标值发送至所述ONU,其中,所述将所述超帧计数器的目标值发送至所述ONU的步骤,包括:
向所述ONU发送Encrypted_Port_ID消息,其中,所述Encrypted_Port_ID消息携带所述超帧计数器的目标值。
6.如权利要求1至5中任一项所述的业务加密方法,其特征在于,所述加密使能信息中通过如下方式携带有加密使能标识,包括:
通过在所述加密使能信息中的PTI 字段的指定比特携带加密使能标识,其中,所述指定比特取值为第一指定值表示不开启加密,所述指定比特取值为第二指定值表示仅开启上行加密,所述指定比特取值为第三指定值表示仅开启下行加密,所述指定比特取值为第四指定值表示开启上下行加密。
7.如权利要求1所述的业务加密方法,其特征在于,所述OLT和所有所述ONU均使用经过同步的所述超帧计数器,所述超帧计数器包括帧内计数器和帧间计数器,所述超帧计数器的宽度为46比特,其中,低16比特为所述帧内计数器,高30比特为所述帧间计数器,对于所述上行加密,所述帧内计数器在上行帧开始置为0,每4字节递增,所述帧间计数器包含在下行GTC帧的GTC Header字段中,所述GTC Header字段指定传输上行GEM帧的上行GTC突发。
8.一种无源光网络***的业务加密方法,所述业务加密方法应用于光网络单元ONU,包括:
接收光线路终端OLT发送的加密使能信息,其中,所述加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密;
在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对所述OLT与所述ONU当前所协商采用的加密算法进行动态切换;
根据所述动态切换后的加密算法,与所述OLT之间进行密钥同步;
在密钥同步后,接收所述OLT发送的超帧计数器的目标值或Key Index,根据所述超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法;
其中,在所述无源光网络***为GPON非对称***或者GPON对称***的情况下,在上行方向,GTC成帧子层的突发被划分为4字节的多个数据块,各所述数据块从S到(S+X)顺序编号;
其中,S=|_目标StartTime/m_|,|_目标StartTime/m_|表示目标StartTime/m向下取整,目标StartTime为DLL成帧子层突发第一个分配的StartTime,StartTime用于指示带宽分配时隙的开始时间,X为所述数据块的数量减去一,
m为针对上行数据传输速率而预设的数值,其中,对于1.25G上行,m=4,对于2.5G上行,m=2;
所述超帧计数器包括帧内计数器和帧间计数器,其中,所述帧内计数器的值包括所有FEC校验字节。
9.一种无源光网络***的业务加密方法,所述业务加密方法应用于FTTR主设备MFU,包括:
将加密使能信息发送至FTTR从设备SFU,其中,所述加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密;
在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对所述MFU与所述SFU当前所协商采用的加密算法进行动态切换;
根据所述动态切换后的加密算法,与所述SFU之间进行密钥同步;
在密钥同步后,根据超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法,并将所述超帧计数器的目标值或Key Index发送至所述SFU;
其中,在所述无源光网络***为GPON非对称***或者GPON对称***的情况下,在上行方向,GTC成帧子层的突发被划分为4字节的多个数据块,各所述数据块从S到(S+X)顺序编号;
其中,S=|_目标StartTime/m_|,|_目标StartTime/m_|表示目标StartTime/m向下取整,目标StartTime为DLL成帧子层突发第一个分配的StartTime,StartTime用于指示带宽分配时隙的开始时间,X为所述数据块的数量减去一,
m为针对上行数据传输速率而预设的数值,其中,对于1.25G上行,m=4,对于2.5G上行,m=2;
所述超帧计数器包括帧内计数器和帧间计数器,其中,所述帧内计数器的值包括所有FEC校验字节。
10.一种无源光网络***的业务加密方法,所述业务加密方法应用于FTTR从设备SFU,包括:
接收FTTR主设备MFU发送的加密使能信息,其中,所述加密使能信息用于指示当前为不开启加密、仅开启上行加密、仅开启下行加密或者开启上下行加密;
在使能开启上下行加密或者开启上行加密后,通过OMCI实体ONU2-G,对所述MFU与所述SFU当前所协商采用的加密算法进行动态切换;
根据所述动态切换后的加密算法,与所述MFU之间进行密钥同步;
在密钥同步后,接收所述MFU发送的超帧计数器的目标值或Key Index,根据所述超帧计数器的目标值或Key Index,确定从指定帧开始使用新密钥或新的加密算法;
其中,在所述无源光网络***为GPON非对称***或者GPON对称***的情况下,在上行方向,GTC成帧子层的突发被划分为4字节的多个数据块,各所述数据块从S到(S+X)顺序编号;
其中,S=|_目标StartTime/m_|,|_目标StartTime/m_|表示目标StartTime/m向下取整,目标StartTime为DLL成帧子层突发第一个分配的StartTime,StartTime用于指示带宽分配时隙的开始时间,X为所述数据块的数量减去一,
m为针对上行数据传输速率而预设的数值,其中,对于1.25G上行,m=4,对于2.5G上行,m=2;
所述超帧计数器包括帧内计数器和帧间计数器,其中,所述帧内计数器的值包括所有FEC校验字节。
11.一种电子设备,其特征在于,包括:存储器、处理器及存储在所述存储器上并可在所述处理器上运行的无源光网络***的业务加密程序,所述无源光网络***的业务加密程序被所述处理器执行时实现如权利要求1至10中任一项所述的无源光网络***的业务加密方法。
12.一种存储介质,其特征在于,所述存储介质为计算机可读存储介质,所述计算机可读存储介质上存储有无源光网络***的业务加密程序,所述无源光网络***的业务加密程序被处理器执行时实现如权利要求1至10中任一项所述的无源光网络***的业务加密方法。
CN202410063582.1A 2024-01-17 2024-01-17 无源光网络***的业务加密方法、电子设备及存储介质 Active CN117579182B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202410063582.1A CN117579182B (zh) 2024-01-17 2024-01-17 无源光网络***的业务加密方法、电子设备及存储介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202410063582.1A CN117579182B (zh) 2024-01-17 2024-01-17 无源光网络***的业务加密方法、电子设备及存储介质

Publications (2)

Publication Number Publication Date
CN117579182A CN117579182A (zh) 2024-02-20
CN117579182B true CN117579182B (zh) 2024-05-03

Family

ID=89895953

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202410063582.1A Active CN117579182B (zh) 2024-01-17 2024-01-17 无源光网络***的业务加密方法、电子设备及存储介质

Country Status (1)

Country Link
CN (1) CN117579182B (zh)

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101064719A (zh) * 2006-04-27 2007-10-31 华为技术有限公司 Pon***中加密算法协商方法
CN101197663A (zh) * 2008-01-03 2008-06-11 中兴通讯股份有限公司 一种吉比特无源光网络加密业务的保护方法
CN102104478A (zh) * 2009-12-16 2011-06-22 中兴通讯股份有限公司 一种加强epon***安全性的方法及其装置
CN102148682A (zh) * 2010-02-08 2011-08-10 中兴通讯股份有限公司 一种对发光异常光网络单元正确定位的方法及***
CN103138918A (zh) * 2011-11-28 2013-06-05 中兴通讯股份有限公司 避免gpon***加密使能瞬间丢包的方法、装置及***
CN103516515A (zh) * 2012-06-28 2014-01-15 中兴通讯股份有限公司 Gpon***中加解密无缝切换的实现方法、olt和onu
CN117318812A (zh) * 2022-06-22 2023-12-29 华为技术有限公司 一种数据传输方法及装置

Family Cites Families (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7591012B2 (en) * 2004-03-02 2009-09-15 Microsoft Corporation Dynamic negotiation of encryption protocols

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101064719A (zh) * 2006-04-27 2007-10-31 华为技术有限公司 Pon***中加密算法协商方法
CN101197663A (zh) * 2008-01-03 2008-06-11 中兴通讯股份有限公司 一种吉比特无源光网络加密业务的保护方法
CN102104478A (zh) * 2009-12-16 2011-06-22 中兴通讯股份有限公司 一种加强epon***安全性的方法及其装置
CN102148682A (zh) * 2010-02-08 2011-08-10 中兴通讯股份有限公司 一种对发光异常光网络单元正确定位的方法及***
CN103138918A (zh) * 2011-11-28 2013-06-05 中兴通讯股份有限公司 避免gpon***加密使能瞬间丢包的方法、装置及***
CN103516515A (zh) * 2012-06-28 2014-01-15 中兴通讯股份有限公司 Gpon***中加解密无缝切换的实现方法、olt和onu
CN117318812A (zh) * 2022-06-22 2023-12-29 华为技术有限公司 一种数据传输方法及装置

Also Published As

Publication number Publication date
CN117579182A (zh) 2024-02-20

Similar Documents

Publication Publication Date Title
US8442229B2 (en) Method and apparatus for providing security in a passive optical network
US9838363B2 (en) Authentication and initial key exchange in ethernet passive optical network over coaxial network
TWI472214B (zh) 用於被動光學網路中之資料隱私的方法及設備
US20030072059A1 (en) System and method for securing a communication channel over an optical network
EP3654554B1 (en) Framing method and apparatus in passive optical network and system
US20020110245A1 (en) Method and system for synchronizing security keys in a point-to-multipoint passive optical network
JPWO2005112336A1 (ja) 暗号機能付きponシステム及びponシステムの暗号化方法
US20220271839A1 (en) Passive optical network (pon) channel bonding protocol
US20080013728A1 (en) Method and Device for Ensuring Data Security in Passive Optical Network
WO2011017847A1 (zh) 交换密钥的方法及设备
WO2020015338A1 (zh) 一种无源光网络***中协商加密算法的方法及***
CN117579182B (zh) 无源光网络***的业务加密方法、电子设备及存储介质
KR100281402B1 (ko) 비동기 전송 모드-폰 시스템의 광 선로 종단장치에서의 하향메시지 할당 방법
CN116743380B (zh) 基于量子密钥分发的otn加密通信方法及***
WO2012097601A1 (zh) 一种组播密钥的安全分发方法、***及设备
EP4322546A1 (en) Data frame fragmentation method, data frame parsing method and related device
CN117857069A (zh) 通信方法、装置、设备及***
Hu et al. NIS03-3: RC4-based security in Ethernet passive optical networks
Verma SECURING OPTICAL BURST SWITCHED NETWORKS
JP2013072965A (ja) 共通鍵暗号通信システム
CN101547088A (zh) 无源光网络中密钥管理方法、设备及无源光网络

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant